Expertenbeitrag

Dr. Johannes Bauer

Dr. Johannes Bauer

Principal Security Consultant bei UL, UL

Cybersecurity-Serie Teil 2 Risikomanagement: Security in die Lieferkette bringen

Von Dr. Johannes Bauer

Der zweite Teil der Cybersecurity-Serie widmet sich der Frage, welche Anforderungen die Hersteller erfüllen müssen und wie sie die Risiken durch ihre Software-Lieferkette begrenzen.

Anbieter zum Thema

Mittels geeigneter Security-Maßnahmen lassen sich Risiken deutlich reduzieren.
Mittels geeigneter Security-Maßnahmen lassen sich Risiken deutlich reduzieren.
(Bild: gemeinfrei / Unsplash)

Zur Produktsicherheit gehört heute auch der Schutz vor Malware, Hackern und Angriffen aus dem Internet. Das Problem dabei: Vernetzte, intelligente Produkte bestehen aus zahlreichen Komponenten, die häufig nicht mehr vom Hersteller selbst entwickelt werden. Im Gegenteil, wichtige Bestandteile wie Betriebssysteme, integrierte Webserver, Bibliotheken für Bildverarbeitung oder Kryptographie und vieles mehr stammen von Fremdherstellern. Die Anbieter nutzen wiederum selbst Module von Fremdherstellern, so dass Anwendungen keineswegs mehr aus einem Guss sind. Dass immer mehr Unternehmen kritische IT-Systeme in die Cloud (Software-as-a-Service, SaaS) verlagern und über Programmierschnittstellen darauf zugreifen, macht die Security-Situation noch komplexer.

Erfahrungsgemäß ist dies für viele Unternehmen eine echte Herausforderung, denn hierfür sind robuste, flexible Prozesse für das Lieferanten- und Risikomanagement notwendig. Hier setzen gute Cybersecurity Services an. Sie unterstützen Unternehmen, die möglichen Sicherheitsrisiken ihrer Produkte und Systeme zu verstehen, zu messen und zu bewerten. So können Unternehmen überprüfen, ob ihre Implementierungen dem Stand der Technik entsprechen. Folgende Best Practices geben Orientierung, um Sicherheitsrisiken zu vermeiden.

Prozesse für Security-Management etablieren

Sicherheitsvorgaben: Unternehmen sollten für ihre gesamte Anwendungslandschaft formale Sicherheitsvorgaben und -Anforderungen definieren, die dann für alle Softwareprodukte und -Komponenten von Drittanbietern gelten. Diese Vorgaben gehören dann anschließend in jede Ausschreibung oder Lieferantenvereinbarung.

Lieferantenprüfung: Jeder neue Lieferant in der Software-Lieferkette sollte zunächst eine Due-Diligence-Prüfung bestehen. Darin wird ermittelt, ob der Lieferant angemessene Sicherheitsvorkehrungen umsetzt, mit denen die Sicherheitsrisiken seiner Software oder Komponente gesenkt werden. Regelmäßige Follow-up-Audits prüfen, dass Änderungen an der Software das Sicherheitsniveau erhalten.

Software-Validierung: Regelmäßige, automatisierte Validierungstests von Softwareprodukten und -Komponenten stellen sicher, dass die Sicherheitsregeln des Unternehmens eingehalten werden.

Aktualisierungen: Das Unternehmen sollte formale Prozesse definieren, mit denen eine regelmäßige Aktualisierung von Software-Anwendungen sichergestellt wird. Dazu gehört auch das Ausbringen von Security-Patches, um den Schutz vor neu identifizierten Bedrohungen sicherzustellen.

Information und Schulung

Track&Trace-Programme: Ebenso wichtig wie regelmäßige Aktualisierungen ist die Implementierung von Track&Trace-Programmen, mit denen die Quellen (Herausgeber) aller Anwendungen, Komponenten und Codebibliotheken erfasst und überwacht werden.

Ingo M. Rübenach, VP Central, East and Southern Europe Region, UL
Ingo M. Rübenach, VP Central, East and Southern Europe Region, UL
(Bild: Michael Schick)

Zugangsbeschränkungen: In dem Zusammenspiel mehrerer Software-Komponenten sollte für jede Einzelkomponente jeweils das Need-to-Know-Prinzip (Kenntnis nur bei Bedarf) gelten. Jede technische Komponente bekommt also nur die Privilegien zugeteilt, die für die erfolgreiche Arbeit unbedingt notwendig sind.

Mitarbeiterschulung: Alle Mitarbeiter sollten fortlaufend und regelmäßig geschult werden, sodass „Awareness“ für effektive Sicherheitspraktiken im Rahmen der Software Lieferkette, die Auswahl von Drittanbieter-Produkten sowie die Überwachung von Softwaresystemen auf potentielle Schwachstellen erzeugt wird.

Diese Best Practices helfen Unternehmen zusammen mit entsprechenden Prüfnormen wie UL 2900 dabei, Sicherheitsrisiken durch Länge und Umfang der Software-Lieferkette weitgehend zu entschärfen. Sie können damit die Beschaffung von Business-Software, Backend-Systemen oder Komponenten für die Entwicklung organisieren und ihre Sicherheitsrisiken senken.

Buchtipp IT-Sicherheit

Die beiden Fachbücher „Industrial IT Security“ und „Cybersicherheit“ führen Sie grundlegend und praxisnah an die aktuellen Herausforderungen der IT-Sicherheit heran. „Industrial IT Security“ legt einen Fokus auf den Schutz vernetzter Steuer- und Sensorsysteme in heutigen Produktionsanlagen entlang der Automatisierungspyramide. „Cybersicherheit“ beleuchtet das Thema stärker aus einer Management-Perspektive und geht dabei insbesondere auf die drei technischen Aktionsfelder IT, IoT und OT sowie auf die Unternehmensorganisation und das Risikomanagement ein.

Mehr erfahren bei Vogel Fachbuch

Im nächsten Teil der Serie geht es darum, smarte, vernetzte Produkte mit hoher Cybersicherheit herzustellen. Eine wichtige Anforderung dafür ist „Security by Design“.

Jetzt Newsletter abonnieren

Verpassen Sie nicht unsere besten Inhalte

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

(ID:45877179)